¶ DADOS PESSOAIS: atendimento à Lei Geral de Proteção de Dados Pessoais (LGPD)
Última atualização: 14/07/2025.
Procedimento aberto para consulta de 14/07/2025 a 14/09/2025.
¶ O que é
Orientações para atendimento à Lei Geral de Proteção de Dados Pessoais pelos profissionais da educação e demais colaboradores, sejam servidores, contratados ou parceiros.
Dados pessoais são informações que identificam ou podem identificar uma pessoa como nome completo, número de documentos (CPF, RG, CNH), endereço, telefone, e-mail, data de nascimento, informações bancárias, imagem, voz, dados de saúde, origem racial ou étnica, religião, entre outros.
Para proteger direitos fundamentais como liberdade e privacidade, a lei estabelece como os dados pessoais devem ser coletados, utilizados, armazenados e protegidos, tanto por empresas quanto por órgãos públicos.
¶ Legislação
Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD)
Decreto Municipal nº 59.767, de 15 de setembro de 2020 - Regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 – Lei de Proteção de Dados Pessoais (LGPD) - no âmbito da Administração Municipal direta e indireta.
Instrução Normativa CGM nº 01, de 21 de julho de 2022 - Estabelece disposições referentes ao tratamento de dados pessoais no âmbito da Administração Pública Municipal de São Paulo
Instrução Normativa SME nº 52, de 21 de dezembro de 2022 - Dispõe sobre a Política de Privacidade e Proteção aos Dados Pessoais no âmbito da Secretaria Municipal de Educação.
¶ Siglas
CGM: Controladoria Geral do Município
CNH: Carteira Nacional de Habilitação
CPF: Cadastro de Pessoas Físicas
DRE: Diretoria Regional de Educação
ECA: Estatuto da Criança e do Adolescente
LGPD: Lei Geral de Proteção de Dados Pessoais
RG: Registro Geral
RME: Rede Municipal de Ensino
SME: Secretaria Municipal de Educação
UE: Unidade Educacional
¶ Procedimentos, prazos e competências
A coleta e o uso de dados pessoais no âmbito educacional são essenciais para a formulação de Políticas Públicas, para o planejamento escolar e para a oferta de serviços de qualidade. Contudo, esse tratamento deve observar os direitos fundamentais, princípios e fundamentos do Estatuto da Criança e do Adolescente (ECA) e da Lei Geral de Proteção de Dados Pessoais (LGPD).
Assim, descreveremos a seguir orientações gerais na coleta e tratamento de dados pessoais e, ainda, outras ações da Secretaria Municipal de Educação (SME) para atendimento à referida lei, como mapeamento de processos e gestão de riscos.
Importante destacar que a LGPD é extensa e traz conceitos técnicos que precisam ser apropriados e incorporados pela Rede Municipal de Ensino (RME). Este procedimento não tem a finalidade de esgotar todas as ações necessárias para atendimento integral à LGPD, mas de apresentar os conceitos em linguagem simples, alertar para pontos de atenção e sensibilizar os servidores e colaboradores quanto à importância da temática, de modo que recomendamos a leitura da lei e de outros materiais complementares.
Na imagem constam, resumidamente, os princípios da LGPD:
¶ Coleta e finalidade
1. As Unidades Educacionais (UEs) diretas e parceiras, as Diretorias Regionais de Educação (DREs) e a Secretaria Municipal de Educação (SME) coletam dados pessoais de crianças, estudantes, servidores e colaboradores.
ATENÇÃO!
Dados pessoais são informações que identificam ou podem identificar uma pessoa. Exemplos:
- Nome completo
- Número de documentos (CPF, RG, CNH)
- Endereço
- Telefone
- Data de nascimento
- Informações bancárias
- Imagem e voz
Mesmo que não identifique diretamente, se a informação puder levar à identificação de alguém, ela também é considerada dado pessoal.
Dados pessoais sensíveis são dados que, por sua natureza, quando revelados, podem gerar discriminação ou tratamento injusto, e por isso exigem maior proteção legal. São eles:
- Origem racial ou étnica
- Convicções religiosas
- Opiniões políticas
- Filiação a sindicato ou organização de caráter religioso, filosófico ou político
- Dados genéticos ou biométricos
- Dados sobre saúde ou vida sexual
.
2. Na SME os dados pessoais são coletados de muitas formas.
Exemplos:
a) Ficha de matrícula;
b) Declaração de Vacinação Atualizada (DVA);
c) Formulários apresentados pelos servidores;
d) Atestados médicos;
e) Registros fotográficos e áudios;
f) Contratos, termos de colaboração e afins.
3. Referidos dados pessoais, no âmbito da SME, são utilizados para:
a) Matrícula e gestão pedagógica/ acadêmica;
b) Comunicação com responsáveis e estudantes;
c) Emissão de documentos escolares;
d) Gestão de recursos e infraestrutura;
e) Atendimento às obrigações legais;
f) Melhorias na qualidade do serviço educacional;
g) Administração de recursos humanos;
h) Pagamento de salários;
i) Controle de frequência;
j) Desenvolvimento de carreira;
k) Comunicação com os servidores.
3.1. Portanto, a utilização de dados pessoais pela SME é indispensável para a execução de políticas públicas e para a própria administração do seu quadro de recursos humanos.
¶ Tratamento
1. O termo “tratamento” na LGPD é entendido como qualquer ação feita com dados pessoais, desde o momento em que eles são coletados até o momento em que são descartados. Ou seja, tudo o que se faz com os dados de uma pessoa é considerado tratamento.
DICA!
Definição da LGPD (art. 5º, inciso X):
“Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”
2. O poder público pode tratar dados pessoais sem a necessidade de consentimento do titular do dado, nas seguintes situações:
a) Cumprimento de obrigação legal (Exemplos: prestação de contas ao Tribunal de Contas do Município, fornecimento de informações em processos judiciais, atendimento a auditorias da Controladoria Geral do Município, encaminhamento de informações à parlamentares para exercício de atividade fiscalizatória)
b) Execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou afins;
c) Exercício regular de direitos em processo judicial, administrativo ou arbitral (Ex.: defesa em ações judiciais movidas contra o município)
d) Estudos de pesquisa, com dados anonimizados;
e) Outras previstas em lei, sendo que as citadas anteriormente são as principais.
3. Quando necessário, a UE, a unidade administrativa ou o colaborador, deve pedir consentimento dos responsáveis ou do próprio titular (no caso de maiores de idade), explicando qual o objetivo do uso dos dados e por quanto tempo serão armazenados.
3.1. Indicamos alguns casos em que o consentimento é necessário:
a) autorização de uso da imagem, voz, vídeo, inclusive para publicações em redes sociais;
b) tratamento de dados sensíveis como informações sobre saúde, religião, orientação sexual, entre outros, que não sejam estritamente necessários para a gestão escolar ou administrativa;
c) participação em pesquisas ou estudos internos.
3.2. Esses documentos de consentimento devem ser arquivados na unidade.
ATENÇÃO!
Como regra, o tratamento de dados pessoais na SME é realizado sem necessidade de consentimento pois as ações se referem, em sua maioria, à execução de política pública ou cumprimento de obrigação legal.
Apenas casos pontuais demandam consentimento, sendo que, de acordo com a LGPD, ele não pode ser geral. A lei exige que o consentimento seja específico para cada finalidade de tratamento de dados pessoais.
Assim, orienta-se que para cada evento ou publicação em que haja necessidade de utilizar fotos, por exemplo, haverá necessidade de consentimento para cada ocasião. Em outras palavras, a prática de elaborar o termo de consentimento de uso da imagem no início do ano, junto à matrícula nas UEs, não tem amparo na LGPD e precisa ser reavaliada.
Além disso, fique atento, pois o titular pode revogar o consentimento a qualquer momento.
¶ Direitos dos titulares de dados pessoais
1. O titular é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
2. A LGPD assegura aos titulares dos dados pessoais, inclusive estudantes e servidores, uma série de direitos que devem ser respeitados por todos os agentes da SME. Exemplos de direitos assegurados:
a) Confirmação da existência de tratamento;
b) Acesso aos dados pessoais;
c) Correção de dados incompletos, inexatos ou desatualizados;
d) Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
e) Informação sobre compartilhamento;
f) Revogação do consentimento, quando aplicável.
3. As unidades educacionais e administrativas devem estar preparadas para encaminhar tais solicitações ao Responsável pela Proteção de Dados da SME e prestar apoio nas demandas.
¶ Compartilhamento e segurança da informação
1. Os dados podem ser compartilhados com terceiros autorizados, como órgãos públicos, desde que haja finalidade legítima para tal compartilhamento nos termos da LGPD, sempre respeitando a legislação vigente e garantindo a segurança das informações.
2. Considerando que o compartilhamento integra o conceito de “tratamento” previsto na LGPD devem ser observadas as mesmas condições e finalidades legais que autorizam o tratamento de dados sem consentimento, conforme já mencionadas neste procedimento.
ATENÇÃO!
A regra geral que orienta o compartilhamento é limitar o acesso aos dados apenas às pessoas que realmente precisam deles para desempenhar suas funções e, sempre que possível, com a anonimização ou pseudonimização dos dados para proteger a privacidade dos indivíduos, conforme o formato do documento e finalidade do tratamento.
Quadro Comparativo: Técnicas de Proteção de Dados
Técnica O que é? É reversível? Identifica a pessoa? Uso comum Pseudonimização Tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Exemplo:
"(XX) XXXX-1234"✅ Sim ✅ Sim (através de informações adicionais) Sistemas internos, testes, estatísticas Anonimização Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Exemplo: tarjamento dos dados.❌ Não ❌ Não Pesquisas, estatísticas públicas, dados abertos Fonte: elaboração própria.
3. A segurança da informação na LGPD é o conjunto de práticas para proteger os dados pessoais contra vazamentos, acessos não autorizados, perdas, danos ou uso indevido. Ou seja, é garantir que as informações das pessoas estejam seguras e bem cuidadas em todas as etapas: coleta, armazenamento, utilização, compartilhamento e descarte.
3.1. Para garantir a segurança são necessárias medidas técnicas, mas também ações responsáveis de cada servidor como a guarda correta dos documentos, bloqueio da tela do computador quando se ausentar ou mesmo zelo no uso de senha de acesso a sistemas, que é pessoal e intransferível.
BOAS PRÁTICAS!
Dados Pessoais e Transparência
Ao tratar dados pessoais em qualquer documento público, meio de comunicação ou rede social, é essencial equilibrar a transparência com a proteção da privacidade.
Isso significa que, ao divulgar informações, deve-se assegurar que os dados pessoais de indivíduos (como nomes, contatos, fotos, informações sensíveis) sejam protegidos, evitando vazamentos ou uso indevido.Exemplos:
Projeto Político-Pedagógico (PPP): é um documento público que expressa a identidade da unidade educacional, refletindo seus objetivos, valores, metas e propostas pedagógicas e, ao mesmo tempo, uma importante ferramenta de planejamento. Recomenda-se:
- A minimização de dados, ou seja, evitar coletar ou incluir no PPP informações que não sejam absolutamente necessárias.
- Dar preferência a dados quantitativos, sem identificação das pessoas (Ex.: desempenho escolar dos estudantes, informações sobre saúde e condição socioeconômica do conjunto dos estudantes).
- Nomes, fotos com educadores ou bebês, crianças e estudantes, o croqui e/ou a planta arquitetônica da unidade podem ser incluídos como ANEXOS, para acesso da própria unidade educacional, de forma que o documento possa ser publicizado sem o anexo, respeitando a privacidade e a segurança dos dados.
Relatório do Acompanhamento da Aprendizagem (Educação Infantil): a elaboração do relatório deve retratar o percurso vivenciado pelos bebês e crianças, suas descobertas, seus avanços, suas interações, suas dificuldades. Os avanços devem ser registrados a partir de cada um em relação a si mesmo e não em comparação com outros bebês e crianças. A recomendação, neste caso, é não mencionar o nome de outras crianças.
Publicação de Fotos em Redes Sociais Institucionais: De acordo com a Orientação Normativa de Registros na Educação Infantil, “as redes sociais institucionais são instrumentos para dar visibilidade ao trabalho desenvolvido pela Unidade, privilegiando o protagonismo infantil, auxiliando a troca de experiências entre educadores e facilitando a comunicação com as famílias/ responsáveis, divulgando o cotidiano da instituição e reiterando sua função pública e política”. Nesse sentido, recomenda-se que:
- As fotografias devem privilegiar o foco nas atividades e não na criança ou no bebê em si.
- Quando for o caso, anonimizar o rosto (crianças, estudantes, servidores ou colaboradores) - há aplicativos específicos para isso, que “borram” os rostos da foto de uma vez só;
- Divulgar as fotos com exposição do rosto apenas com autorização por escrito dos responsáveis legais ou dos titulares dos dados.
Compartilhamento de Telas de Sistemas Institucionais: As informações contidas nos sistemas internos como EOL, SIGPEC, SED, entre outros, são restritas ao uso institucional e devem receber tratamento compatível com seu nível de confidencialidade. A reprodução e o envio de capturas de tela dos sistemas institucionais por meio de redes sociais, aplicativos de mensagens ou e-mails pessoais configura risco à proteção de dados. Recomenda-se que essa prática seja realizada somente sob previsão legal para tanto.
Contrato, Termo de Colaboração e afins: por serem documentos públicos, quando publicizados no Portal da SME ou por qualquer outro meio, é importante que os dados pessoais sejam anonimizados ou pseudonimizados, exceto se houver consentimento explícito para sua divulgação. No processo SEI o contrato deve ter acesso restrito por conter informações pessoais, encartando também versão anonimizada com nível de acesso público para garantir a devida publicidade.
Sempre que alguma informação, foto ou dado extrapolar os limites de uso interno da Unidade – seja para redes sociais, relatórios externos ou outras divulgações – deve ser cuidadosamente analisado à luz dos princípios e fundamentos da LGPD. A divulgação externa exige reflexão prévia quanto à sua finalidade, base legal, adequação e necessidade, de modo a assegurar a proteção dos direitos dos titulares e a conformidade com a legislação. Assim, a transparência é garantida sem comprometer a privacidade dos envolvidos.
4. Uma ação importante para garantir a segurança da informação e a implementação da LGPD é a realização de ações formativas com os professores, funcionários administrativos e demais colaboradores sobre a importância da proteção de dados e as práticas corretas.
5. Em caso de vazamentos ou acessos indevidos, notifique o Responsável pela Proteção de Dados da SME, pelo e-mail protecaodedados@sme.prefeitura.sp.gov.br ou pelo Sistema SEI “SME/PROTEÇÃO DE DADOS”, para adoção das medidas necessárias, inclusive comunicação ao Encarregado pelo Tratamento de Dados Pessoais.
¶ Mapeamento de Dados e Gestão de Riscos
Para apoiar a implementação da LGPD, a Prefeitura estruturou um Programa de Governança em Privacidade e Proteção de Dados Pessoais e editou normas orientando a elaboração de um “Plano de Adequação”, que é um conjunto de boas práticas.
Dentre as ações propostas, constam o mapeamento de processos e de dados pessoais e, ainda, a gestão de riscos, com a elaboração de um relatório de impacto à proteção de dados pessoais.
O “Mapeamento de Processos” refere-se à identificação dos processos e suas etapas, com a descrição, para cada etapa, de seu objetivo, dos recursos humanos envolvidos, dos recursos físicos e tecnológicos utilizados, bem como da forma de comunicação entre os recursos humanos e do modo de compartilhamento das informações entre as etapas.
Com o relatório de impacto, o Poder Público pode identificar previamente situações que possam representar riscos aos direitos e liberdades fundamentais dos titulares e prever medidas preventivas para eliminar ou reduzir tais riscos.
Tais ações encontram-se em andamento na Prefeitura e, uma vez concluídas no âmbito da SME, serão emitidas orientações aos servidores e colaboradores.
DICA!
Confira a Política Proteção de Dados Pessoais da SME e demais materiais orientativos no Portal SME.
¶ Processo SEI ou expediente
O atendimento à LGPD permeia todos os processos, de modo que da autuação à sua conclusão, os operadores/ servidores devem se atentar às informações e adotar as medidas necessárias à proteção de dados pessoais.
Importante salientar que o SEI faculta a escolha do tipo de acesso ao processo ou ao documento específico, sendo os mais utilizados “público” e “restrito” que, dentre suas várias hipóteses, possui “informação pessoal”.
¶ Modelos
Os modelos estão em elaboração e serão incluídos futuramente.
¶ Checklist
O checklist é uma ferramenta apenas para apoiar a conferência do procedimento por parte dos servidores envolvidos. No entanto, ele é uma simplificação e não substitui seu conteúdo. Orientamos que leiam todo o procedimento, em especial o tópico “Procedimentos, prazos e competências”.
| Descrição da ação | Responsável | Conferência |
| 1. Tratar os dados pessoais, seguindo os princípios da LGPD. | Servidores e colaboradores | ☑ |
| 2. Solicitar consentimento do titular para tratamento de dados sensíveis. | Servidores e colaboradores | ☑ |
| 3. Formar os servidores e colaboradores quanto ao previsto na LGPD. | Chefias | ☑ |
| 4. Incluir dispositivos sobre a LGPD nos contratos, termos de colaboração e afins. | Unidades Administrativas | ☑ |
| 5. Informar casos de vazamentos ou acessos indevidos, ao Responsável pela Proteção de Dados da SME, que adotará as medidas necessárias, inclusive comunicação ao Controlador na CGM. | Servidores e colaboradores | ☑ |
¶ Gestão documental
A gestão documental é o conjunto de procedimentos referentes à produção, classificação, tramitação, avaliação, reprodução, consulta e arquivamento de documentos.
No âmbito da Administração Pública o documento possui maior relevância pois é a forma oficial de comunicação e tratamento das informações. Neles são registradas todas as questões relativas à vida funcional dos servidores, os contratos firmados etc. Especificamente na Secretaria Municipal de Educação são produzidos documentos relativos à vida escolar dos estudantes e da própria organização das unidades educacionais.
Desse modo, recomenda-se a leitura da legislação e do procedimento dedicado a esse assunto pois a correta classificação do documento e do tipo de processo, quando o caso, garante que o documento cumpra com sua finalidade e, ainda, garante sua correta destinação (eliminação ou guarda permanente).
¶ Publicações relacionadas
Revista “Robô e a Turma da LGPD no Controle dos Seus Dados Pessoais "
¶ Procedimentos relacionados
Está relacionado transversalmente a todos os procedimentos.
¶ Áreas responsáveis pela escrita e atualização do procedimento
Núcleo de Transparência Ativa e Controle Interno – NUTAC
Responsável pela Proteção de Dados da SME
Coordenadoria de Tecnologia de Informação e Comunicação - COTIC